DNS服務(wù)的配置和管理課件

DNS服務(wù)的配置和管理10.1 DNS基礎(chǔ)知識在網(wǎng)絡(luò)中當給每一臺計算機(主機)分配了獨立的IP地址后，可以通過IP地址找到這臺計算機并與之進行通信。但是，當網(wǎng)絡(luò)的規(guī)模較大時，使用IP地址就不太方便了，所以，便出現(xiàn)了主機名(hostname)與IP地址之間的一種對應(yīng)解決方案，可以通過使用形象易記的主機名而非IP地址進行網(wǎng)絡(luò)的訪問，這比單純使用IP地址顯然要方便得多。其實，在這種解決方案中使用了解析的概念和原理，單獨通過主機名是無法建立網(wǎng)絡(luò)連接的，只有通過解析的過程，在主機名與IP地址之間建立了映射關(guān)系后，才可以通過主機名間接地通過IP地址建立網(wǎng)絡(luò)連接。主機名與IP地址之間的映射關(guān)系，在小型網(wǎng)絡(luò)中多使用Hosts文件來完成。后來，隨著網(wǎng)絡(luò)規(guī)模的增大，為了滿足不同組織的要求，以實現(xiàn)一個可伸縮、可自定義的命名方案的需要，InterNIC(InternetNetworklnformationCenter)制定了一套稱為域名系統(tǒng)(DomainNameSystem，DNS)的分層名字解析方案，當DNS用戶提出IP地址查詢請求時，就可以由DNS服務(wù)器中的數(shù)據(jù)庫提供所需的數(shù)據(jù)。DNS技術(shù)目前已廣泛地應(yīng)用于Intemet中。10.1.1使用Hosts文件的主機名解析20世紀70年代末，當只有少數(shù)幾臺計算機進行連網(wǎng)時，所有的主機名和IP地址的映射關(guān)系都保存在一個名為Hosts的數(shù)據(jù)庫文件中。通過這個數(shù)據(jù)庫文件，可以將一個主機名解析到一個IP地址上。在Windows2000中，Hosts文件存放在＼WINNT＼System32＼drivers＼etc文件夾下，打開此文件，就可以發(fā)現(xiàn)主機名與IP地址之間的對應(yīng)關(guān)系。使用Hosts文件進行IP地址解析的優(yōu)點是它對用戶來說是可定制的。每個用戶都可以根據(jù)自己的實際需要在Hosts文件中添加對應(yīng)的項。而Hosts的缺點是不能存儲大量的主機名與IP地址之間的映射關(guān)系(映射表)。早期的廣域網(wǎng)(包括最早的Internet)的主機名與IP地址之間的映射大都使用Hosts文件方式，當時需要遠程互連的主機都要使用Hosts數(shù)據(jù)庫文件，該文件保存在斯坦福研究所的網(wǎng)絡(luò)信息中心(SRI-NIC)的主機中。任何人要更新他們的Hosts文件都要到SRI-NIC的主機中下載最新的Hosts文件。這種方式持續(xù)了很長一段時間，直到參與互連的計算機規(guī)模急劇增加時，管理Hosts文件變得越來越困難。10.1.2DNS的功能DNS的基礎(chǔ)是Hosts，DNS最初的設(shè)計目標是“用具有層次名字空間、分布式管理、擴展的數(shù)據(jù)類型、無限制的數(shù)據(jù)庫容量和具有可以接受的性能的輕型、快捷、分布的數(shù)據(jù)庫取代笨重的集中管理的Hosts文件系統(tǒng)”。DNS是一組協(xié)議和服務(wù)，它允許用戶在查找網(wǎng)絡(luò)資源時使用層次化的對用戶友好的名字取代IP地址。當DNS客戶端向DNS服務(wù)器發(fā)出IP地址的查詢請求時，DNS服務(wù)器可以從其數(shù)據(jù)庫內(nèi)尋找所需要的IP地址給DNS客戶端。這種由DNS服務(wù)器在其數(shù)據(jù)庫中找出客戶端IP地址的過程叫做“主機名稱解析”。該系統(tǒng)已廣泛地應(yīng)用到Internet和Intranet中，如果在Intemet或Intranet中使用Web瀏覽器、FTP或Telnet等基于TCP／IP協(xié)議的應(yīng)用程序時，就需要使用DNS的功能。簡單地講，DNS協(xié)議的最基本功能是在主機名與對應(yīng)的IP地址之間建立映射關(guān)系。例如，新浪網(wǎng)站的IP地址是00，幾乎所有瀏覽該網(wǎng)站的用戶都是使用，而并非使用IP地址來訪問。使用主機名(域名)比直接使用IP地址具有以下兩點好處。(1)主機名便于記憶，如。(2)數(shù)字形式的IP地址可能會由于各種原因而改變，而主機名可以保持不變。DNS的工作任務(wù)是在計算機主機名與IP地址之間進行映射。DNS處在OSI參考模型的應(yīng)用層，使用TCP和UDP作為傳輸協(xié)議。DNS模型相當簡單：客戶端向DNS服務(wù)器提出訪問請求(如：)，DNS服務(wù)器在收到客戶端的請求后在數(shù)據(jù)庫中查找相對的IP地址(00)，并作出反應(yīng)。如果該DNS服務(wù)器無法提供對應(yīng)的IP地址(如數(shù)據(jù)庫中沒有該客戶端主機名對應(yīng)的IP地址)時，它就轉(zhuǎn)給下一個它認為更好的DNS服務(wù)器去處理。當需要給某人打電話時，你可能知道這個人的姓名，而不知道他的電話號碼。這時，可以通過查看電話號簿查得他的電話號碼，從而與他進行通話。由此可以看出，電話號碼簿的功能便是建立姓名與電話號碼之間的映射關(guān)系。而DNS的功能與電話號碼薄很類似。10.1.3DNS的組成域名系統(tǒng)(DNS)是為傳輸控制協(xié)議／網(wǎng)際協(xié)議(TCP／IP)網(wǎng)絡(luò)提供的一套協(xié)議和服務(wù)，是巾名字分布數(shù)據(jù)庫組成的。它建立了叫做域名空間的邏輯樹結(jié)構(gòu)，是負責分配、改寫、查詢域名的綜合性服務(wù)系統(tǒng)。該空間中的每個節(jié)點或域都有一個唯一的名字。組成DNS系統(tǒng)的核心是DNS服務(wù)器，它是回答域名服務(wù)查詢的計算機，它允許為私人TCP／IP網(wǎng)絡(luò)和連接公共Intemet的用戶提供并管理DNS服務(wù)，維護DNS名字數(shù)據(jù)并處理DNS客戶端主機名的查詢。DNS服務(wù)器保存了包含主機名和相應(yīng)IP地址的數(shù)據(jù)庫。例如，如果提供了名字，DNS服務(wù)器將返回新浪網(wǎng)站的IP地址00。DNS是一種看起來與磁盤文件系統(tǒng)的目錄結(jié)構(gòu)類似的命名方案，域名也通過使用句點“.”分隔每個分支來標識一個域在邏輯DNS層次中相對于其父域的位置。但是，當定位一個文件位置時，是從根目錄到子目錄再到文件名，如c：＼winnt＼win.exe；而當定位一個主機名時，是從最終位置到父域再到根域，如M。圖10.1顯示了頂級域的名字空間及下一級子域之間的樹型結(jié)構(gòu)關(guān)系，圖中的每一個結(jié)點以及其下的所有節(jié)點叫做一個域。域可以有主機(計算機)和其他域(子域)。例如，在圖10.1中，P就是一個主機，而則是一個子域。一般在子域中含有多臺主機，例如，在圖10.1的子域下，就含有P和兩臺主機。圖10.1域名空間的組成域名和主機名只能用字母，a～z(在WindowsNT／2000中大小寫等效，而在UNIX中則不同)、數(shù)字0—9和連線“—”組成。其他公共字符如連接符“&”、斜杠“／”、句點“.”、和下劃線“—”都不能用于表示域名和主機名。(1)根域：代表域名命名空間的根，這里為空。(2)頂級域：直接處于根域下面的域，代表一種類型的組織和一些國家。在Intemet中，由InterNIC進{亍管理和維護。表10.1和表10.2分別列出了Intemet中常用到的—部分頂級域名和國家的代碼。表10.1部分Intemet頂級域名及含義表10.2部分Intemet國家或地區(qū)代碼及含義(3)二級域：在頂級域下面，用來標明頂級域以內(nèi)的一個特定的組織。在Internet中，也是巾InterNIC負責對二級域名進行管理和維護，以保證二級域名的唯一性。(4)子域：在二級域的下面所倉／／建的域，它一般由各個組織根據(jù)自己的要求自行創(chuàng)建和維護。(5)主機：是域名命名空間中的最下面‘層，它被稱之為完全合格的域名(FullyQualifiedDomainName，F(xiàn)QDN)，在WindowsNT／2000下可以利用Hostname命令查看該主機的主機名。10.1.4DNS的區(qū)域所謂DNS的區(qū)域(zone)，就是指域名空間(domainnamespace)樹型結(jié)構(gòu)的一部分，它能夠?qū)⒂蛎Q空間根據(jù)用戶需要劃分為較小的區(qū)域，而非域(domain)，以便于管理。一個區(qū)域內(nèi)的主機數(shù)據(jù)(包括主機名和對應(yīng)IP地址)必須存放在DNS服務(wù)器內(nèi)，而用來存放這些數(shù)據(jù)的文件就稱之為區(qū)域文件。一臺DNS服務(wù)器內(nèi)可以存放多個區(qū)域文件，同一個區(qū)域文件也可以存放到多臺DNs服務(wù)器中。為了將網(wǎng)絡(luò)管理的工作分散開來，可以將一個DNS域劃分為多個區(qū)域。如圖10.2所示，將域劃分為區(qū)域1與區(qū)域2，其中區(qū)域1包含了子域，區(qū)域2包含了域禾口子域address.abc.cOm。每個區(qū)域都存在一個區(qū)域文件，區(qū)域1的文件中包含著域內(nèi)所有主機(depl～dep30)的數(shù)據(jù)；而區(qū)域2的文件中包含著域內(nèi)所有主機(depl～dep20和depl—dep40)的數(shù)據(jù)。兩個區(qū)域文件可以存放在同一個DNS服務(wù)器中，也可以分別存放在不同的DNS服務(wù)器中。當用戶數(shù)較多時，可以由兩個網(wǎng)絡(luò)管理員分別管理不同的兩個區(qū)域，不但便于工作上的分工，而且減輕了管理上的負擔。一個區(qū)域所包含的范圍在一個域名稱空間中是連續(xù)的，否則無法構(gòu)成一個區(qū)域。例如圖10.2中，不能創(chuàng)建包含和

兩個子域的區(qū)域，因為這兩個子域位于不連續(xù)的名稱空間?，F(xiàn)在Windows2000在網(wǎng)絡(luò)協(xié)議方面已經(jīng)開始完全轉(zhuǎn)向TCP／IP，所以DNS也成了Windows2000網(wǎng)絡(luò)環(huán)境中一個非常重要的服務(wù)。沒有DNS，ActiveDirectory將無法正常工作，也更談不上Windows2000的網(wǎng)絡(luò)了。圖10.2將DNS域劃分為多個區(qū)域的情況Windows2000DNS服務(wù)新增加了動態(tài)更新和AD集成的功能，進一步提高了DNS的可用性。每個區(qū)域的數(shù)據(jù)都是保存在DNS服務(wù)器的區(qū)域文件內(nèi)。當利用“DNS控制臺”創(chuàng)建一個區(qū)域時，其區(qū)域文件就會被自動創(chuàng)建，默認的文件名為zonename.dns，其中在Windows2000中存放在＼WINNT＼System32＼DNS文件夾內(nèi)。例如，區(qū)域名為abc.toni時，則區(qū)域文件就是.dns。10.2DNS服務(wù)器的分類和作用

DNS服務(wù)器是整個DNS系統(tǒng)的核心。DNS服務(wù)器，嚴格地講應(yīng)該是DNS名稱服務(wù)器(DNSNameServer)，它保存著域名稱空間(domainnamespace)中部分區(qū)域(zone)的數(shù)據(jù)。當一個DNS服務(wù)器中存放有域名稱空間內(nèi)的一個或多個區(qū)域的數(shù)據(jù)時，就將這臺DNS服務(wù)器稱為授權(quán)名稱服務(wù)器(authoritativenameserver)。授權(quán)名稱服務(wù)器負責維護和管理所轄區(qū)域中的數(shù)據(jù)，為DNS客戶端提供數(shù)據(jù)查詢。根據(jù)工作方式的不同，授權(quán)名稱服務(wù)器可以分為：主要名稱服務(wù)器、輔助名稱服務(wù)器、主控各稱服務(wù)器和Cache-Only名稱服務(wù)器4種，以下分別進行介紹。10.2.1主要名稱服務(wù)器主要名稱服務(wù)器(primarynameserver)是用于存放該區(qū)域中相關(guān)設(shè)置的DNS服務(wù)器。當在一臺DNS服務(wù)器上建立一個區(qū)域文件時，有關(guān)該新建區(qū)域內(nèi)的主機數(shù)據(jù)都直接存放到該DNS服務(wù)器中。而且，當某個區(qū)域的內(nèi)的數(shù)據(jù)被修改后(例如添加了主機)，這些變更后的數(shù)據(jù)同樣存放在這臺DNS服務(wù)器內(nèi)，即由DNS服務(wù)器完成對原有數(shù)據(jù)庫的更新。主要名稱服務(wù)器存放的是區(qū)域文件的正本數(shù)據(jù)。在一個DNS系統(tǒng)中，可能存在多個主要名稱服務(wù)器。這樣，可以提供容錯能力，當一臺主要名稱服務(wù)器發(fā)生故障時，由另一臺主要名稱服務(wù)器提供服務(wù)。另外，多個主要名稱服務(wù)器可以分擔查詢的任務(wù)，減輕了只有一個主要名稱服務(wù)器時的負擔。10.2.2輔助名稱服務(wù)器輔助名稱服務(wù)器(secondarynameserver)是用于從其他的服務(wù)器(即可以足主要名稱服務(wù)器，也可以是輔助名稱服務(wù)器)中復(fù)制數(shù)據(jù)，并進行保存的服務(wù)器。輔助名稱服務(wù)器中的數(shù)據(jù)不是直接輸入的，而是從其他的服務(wù)器中復(fù)制過來的，只是—份副本。所以，輔助名稱服務(wù)器中的數(shù)據(jù)無法被修改。當啟動輔助名稱服務(wù)器時，它會和與它建立聯(lián)系的所有主要名稱服務(wù)器建立聯(lián)系，并從中復(fù)制數(shù)據(jù)。在輔助名稱服務(wù)器工作時，還會定期地更新原有的數(shù)據(jù)，以盡可能地保證副本與正本數(shù)據(jù)的一致性。輔助名稱服務(wù)器除可以從主要名稱服務(wù)器復(fù)制數(shù)據(jù)外，還可以在其他的輔助名稱服務(wù)器中復(fù)制數(shù)據(jù)。在一個區(qū)域中設(shè)置多臺輔助名稱服務(wù)器具有以下優(yōu)點：（1）根據(jù)容錯能力。當一臺DNS服務(wù)器發(fā)生故障時，由輔助名稱服務(wù)器提供服務(wù)。（2）分擔主要名稱服務(wù)器的負擔。（3）加快查詢的速度。例如，一個公司分別位于相距較遠的兩個地方，這時可以在其中一處設(shè)置一臺輔助名稱服務(wù)器，讓本地的DNS客戶直接向本地的輔助名稱服務(wù)器進行查詢即可。10.2.3主控名稱服務(wù)器主控名稱服務(wù)器(masternameserver)是指提供區(qū)域數(shù)據(jù)復(fù)制的DNS服務(wù)器，它既可以是該區(qū)域內(nèi)的主要名稱服務(wù)器，也可以是該區(qū)域內(nèi)的輔助名稱服務(wù)器。例如，當一臺輔助名稱服務(wù)器從另外一臺主要名稱服務(wù)器(也可以是輔助名稱服務(wù)器)中復(fù)制數(shù)據(jù)時，將提供數(shù)據(jù)復(fù)制服務(wù)的這臺主要名稱服務(wù)器(也可以是輔助名稱服務(wù)器)便稱之為它的主控名稱服務(wù)器。

10.2.4Cache—Only名稱服務(wù)器Cache-Only名稱服務(wù)器只負責查詢數(shù)據(jù)，并將曾經(jīng)查到的數(shù)據(jù)保存在高速緩存中，當卜一次DNS客戶端查詢數(shù)據(jù)時，如果高速緩存內(nèi)存在該數(shù)據(jù)，則它可以快速將數(shù)據(jù)提供給客戶端。Cache-Only名稱服務(wù)器不負責管轄域名稱空間內(nèi)的任何DNS服務(wù)器，不創(chuàng)建任何的區(qū)域，它只幫助DNS客戶端向其他的DNS服務(wù)器進行查詢，然后將查到的數(shù)據(jù)存儲一份到高速緩存中，響應(yīng)DNS客戶端的查詢請求。Cache-Only名稱服務(wù)器不但可以分擔網(wǎng)絡(luò)的工作量，而且可以讓DNS客戶端直接快速地進行查詢。10.3轉(zhuǎn)發(fā)器的功能和應(yīng)用轉(zhuǎn)發(fā)器(forwarder)是指具有特殊功能和應(yīng)用的DNS服務(wù)器。一般情況下，當DNS服務(wù)器在收到DNS客戶端的查詢請求后，它將在所管轄區(qū)域的數(shù)據(jù)庫中尋找是否有該客戶端的數(shù)據(jù)。如果該DNS服務(wù)器的區(qū)域數(shù)據(jù)庫中沒有該客戶端的數(shù)據(jù)(即在DNS服務(wù)器所管轄的區(qū)域數(shù)據(jù)庫中并沒有該DNS客戶端所查詢的主機名)時，該DNS服務(wù)器需轉(zhuǎn)向其他的DNS服務(wù)器進行查詢。在實際應(yīng)用中，以上這種現(xiàn)象經(jīng)常發(fā)生。例如，當網(wǎng)絡(luò)中的某臺主機要與位于本網(wǎng)絡(luò)外的主機通信時，就需要向外界的DNS服務(wù)器進行查詢，并由它提供相應(yīng)的數(shù)據(jù)。但為了安全起見，一般不希望內(nèi)部所有的DNS服務(wù)器都直接與外界的DNS服務(wù)器建立聯(lián)系，而是只讓一臺DNS服務(wù)器與外界建立直接聯(lián)系，網(wǎng)絡(luò)內(nèi)的其他DNS服務(wù)器則通過這一臺DNS服務(wù)器來與外界進行間接的聯(lián)系。那么，這臺直接與外界建立聯(lián)系的DNS服務(wù)器便稱為轉(zhuǎn)發(fā)器。有了轉(zhuǎn)發(fā)器后，當DNS客戶端提出查詢請求時，DNS服務(wù)器將通過轉(zhuǎn)發(fā)器從外界DNS服務(wù)器中獲得數(shù)據(jù)，并將其提供給DNS客戶端。如果轉(zhuǎn)發(fā)器無法查詢到所需的數(shù)據(jù)，則DNS服務(wù)器一般提供兩種處理方式。(1)該DNS服務(wù)器直接向外界的DNS服務(wù)器渤亍查詢。(2)該DNS服務(wù)器不再向外界的DNS服務(wù)器進行查詢，而是告訴DNS客戶端找不到所需的數(shù)據(jù)。如果是后一種方式，該DNS服務(wù)器將完全依賴于轉(zhuǎn)發(fā)器。出于安全考慮，最好將DNS服務(wù)器設(shè)置為后一種方式，即完全依賴于轉(zhuǎn)發(fā)器的方式。這樣的DNS服務(wù)器就叫做從屬服務(wù)器(Slaveserver)。10.4DNS解析名字的方式當DNS客戶端向DNS服務(wù)器查詢IP地址，或DNS服務(wù)器(DNS服務(wù)器有時也扮演DNS客戶端的角色)向另一臺DNS服務(wù)器查詢IP地址時，可以有3種查詢方式：遞歸型、循環(huán)型和反向型。10.4.1遞歸型遞歸型查詢，是指DNS客戶端發(fā)出查詢請求后，如果DNS服務(wù)器內(nèi)沒有所需的數(shù)據(jù)，則DNS服務(wù)器會代替客戶端向其他的DNS服務(wù)器進行查詢。在這種方式中，DNS服務(wù)器必須給DNS客戶端作出回答。一般由DNS客戶端提出的查詢請求都是遞歸型的查詢方式。10.4.2循環(huán)型循環(huán)型查詢多用于DNS服務(wù)器與DNS服務(wù)器之間的查詢方式。它的工作過程是：當?shù)?臺DNS服務(wù)器向第2臺DNS服務(wù)器提出查詢請求后，如果在第2臺DNS服務(wù)器內(nèi)沒有所需要的數(shù)據(jù)，則它會提供第3臺DNS服務(wù)器的IP地址給第1臺DNS服務(wù)器，讓第1臺DNS服務(wù)器直接向第3臺DNS服務(wù)器進行查詢。依此類推，直到找到所需的數(shù)據(jù)為止。如果到最后一臺DNS服務(wù)器中還沒有找到所需的數(shù)據(jù)時，則通知第1臺DNS服務(wù)器查詢失敗。10.4.3反向型反向型查詢的方式與遞歸型和循環(huán)型兩種方式都不同，它是讓DNS客戶端利用自己的IP地址查詢它的主機名稱。反向型查詢是依據(jù)DNS客戶端提供的IP地址，來查詢它的主機名。由于DNS名字空間中域名與IP地址之間無法建立直接對應(yīng)關(guān)系，所以必須在DNS服務(wù)器內(nèi)創(chuàng)建一個反向型查詢的區(qū)域，該區(qū)域名稱的最后部分為。一旦創(chuàng)建的區(qū)域進入到DNS數(shù)據(jù)庫中，就會增加一個指針記錄，將IP地址與相應(yīng)的主機名相關(guān)聯(lián)。換句話說，當查詢IP地址為的主機名時，解析程序?qū)⑾駾NS服務(wù)器查詢1.221。132.205.的指針記錄。如果該IP地址在本地域之外時，DNS服務(wù)器將從根開始，順序地解析域結(jié)點，直到找到05.。當創(chuàng)建反向型查詢區(qū)域時，系統(tǒng)就會自動為其創(chuàng)建一個反向型查詢區(qū)域文件。圖10.3顯示了一個包含遞歸型和循環(huán)型兩種類型的查詢方式，DNS客戶端向DNS服務(wù)器Serverl查詢的IP地址的過程。查詢的具體解析過程如下。第1步，DNS客戶端向本地的DNS服務(wù)器(Serverl)發(fā)出一個遞歸型的查詢請求，請求查詢的IP地址。本地的DNS服務(wù)器(Serverl)負責解析該名字，不能移交給其他DNS服務(wù)器進行處理。第2步，如果Serverl內(nèi)沒有所需要的數(shù)據(jù)，則Serverl使用循環(huán)型方式將此查詢請求轉(zhuǎn)送到根域的DNS服務(wù)器(Server2)進行查詢。圖10.3一個包含遞歸型和循環(huán)型兩種類型的查詢方式第3步，根域DNS服務(wù)器(Server2)從要查詢的主機名稱得知該主機位于.com的頂級域名下，那么它會將負責管轄.com的DNS服務(wù)器(Server3)的IP地址發(fā)送給Serverl。第4步，Serverl在得到Server3的IP地址后，將使用遞歸型查詢方式直接向Server3查詢usel.abc.corn的IP地址。第5步，Server3從要查詢的主機名得知該主機位于的二級域下，那么它會將負責管轄的DNS服務(wù)器(Server4)的IP地址傳送給Serverl。

第6步，當Serverl在得到Server4的IP地址后，它再次使用遞歸型查詢方式直接向Server4查詢的IP地址。第7步，管轄的DNS服務(wù)器(Server4)將的IP地址返回給Serverl。第8步，本地DNS服務(wù)器Serverl將的IP地址轉(zhuǎn)送給最初的解析程序，提供給DNS客戶端。10.5緩存與生存時間在DNS服務(wù)器處理一個遞歸型查詢的過程中，可能需要發(fā)出多個查詢請求以找到所需的數(shù)據(jù)。DNS服務(wù)器允許對此過程中接收到的所有信息進行緩存。當DNS服務(wù)器向其他的DNS服務(wù)器查詢到DNS客戶端所需要的數(shù)據(jù)后，它除了將此數(shù)據(jù)提供給DNS客戶端外，還將此數(shù)據(jù)保存一份到該DNS服務(wù)器內(nèi)，以便下一次有1)NS客戶端查詢相同數(shù)據(jù)時直接從緩存中調(diào)用，加快了處理速度，并減輕了網(wǎng)絡(luò)的負擔、但是，保存在DNS服務(wù)器緩存中的數(shù)據(jù)不可能永遠存在，它只能存在一段時間，這段時間稱之為生存時間TTL。TTL時間的長短可能在保存該數(shù)據(jù)的主要名稱服務(wù)器中進行設(shè)置。當DNS服務(wù)器將數(shù)據(jù)保存到緩存后，TTL時間就會開始遞減。只要TTL時間變?yōu)?，DNS服務(wù)器就會將此數(shù)據(jù)從緩存中抹去。在設(shè)置TTL的值時，如果數(shù)據(jù)變化很快，TTL的值可以設(shè)置得小一些，這樣可以保證網(wǎng)絡(luò)上數(shù)據(jù)更好的保持一致。但是，當TTL的值太小時，DNS服務(wù)器的負載就會增加。10.6Windoow2000中的DNS

WindowsNT4.0中DNS的所有功能全部包含在了Windows2000中。同時，因為Windows2000使用了不同于WindowsNT4.0的管理方式(如活動目錄)，所以其DNS在功能上有所增強。主要表現(xiàn)在以下兩個方面。10.6.1動態(tài)DNS在WindowsNTServer4.0下，當使用動態(tài)主機配置協(xié)議DHCP為客戶端分配IP地址時，無法保持相應(yīng)的DNS記錄始終是最新的。例如，有一個DNS數(shù)據(jù)，該數(shù)據(jù)中記錄著對應(yīng)的IP地址5，在usel的DHCP租用釋放之前，其工作都很正常。但是，當它被釋放并重新獲得一個新的IP地址后時，就需要手工修改DNS記錄，或使用NetBIOS和WINS來解析名字。如果使用撥號ISP，也會有同樣的問題，即每次撥號都會有一個不同的IP地址。在Windows2000中引入了動態(tài)DNS(DDNS)的概念，通過DDNS可以解決上述的問題。DDNS允許DNS客戶端更新DNS數(shù)據(jù)庫文件中的信息。例如，在Windows2000中，DHCP服務(wù)器可以自動告訴DDNS服務(wù)器哪一個IP地址被分配，分配給了哪—臺計算機。Windows2000的客戶機也可以做到這一點，但出于安全的考慮，建議通過DHCP服務(wù)器完成此工作。在使用了DDNS后，IP地址與DNS記錄將保持同步，于足實現(xiàn)了DNS和DHCP的無縫結(jié)合。DDNS是一個推薦的Intemet標準，將會在Intemet和Intranet中得到廣泛的使用。10.6.2DNS與活動目錄活動目錄(ActiveDirectory)是Windows2000Server／AdvancedServer操作系統(tǒng)使用的目錄服務(wù)，它存放有關(guān)網(wǎng)絡(luò)對象的信息，從而使管理員和用戶可以十分方便地進行查找和使用。在Windows2000中，活動目錄使用DNS，兩者具有相同的層次結(jié)構(gòu)和存儲區(qū)域。早期的DNS數(shù)據(jù)文件是一個平面結(jié)構(gòu)的文本文件，很容易被編輯，但它卻不能被復(fù)制。這既不便于安全管理，也無法用其他代理方式來控制。在創(chuàng)建了活動日錄后，所有這些局限將不會存在。活動目錄會將所有的DNS區(qū)域的數(shù)據(jù)保存在自身的數(shù)據(jù)庫中，這樣不但增加了安全性，而且便于復(fù)制。10.7 DNS服務(wù)器的安裝

DNS服務(wù)器是基于TCP／IP通信協(xié)議的，所以在安裝DNS之前必須確保已安裝廠TCP／IP協(xié)議。對于Windows2000Server／AdvancedServer來說，如果要負擔域控制器的角色，必須安裝DNS服務(wù)器。10.7.1安裝DNS服務(wù)器在Windows2000Server中可以通過以下的方式安裝DNS服務(wù)器。(1)選擇“開始一設(shè)置一控制面板一添加／刪除程序”，在出現(xiàn)的對話框中單擊“添加／刪除Windows組件”一項，出現(xiàn)“Windows組件向?qū)А睂υ捒颉?2)選擇對話框“組件”列表中的“網(wǎng)絡(luò)服務(wù)”一項，然后單擊“詳細信息”按鈕，出現(xiàn)“網(wǎng)絡(luò)服務(wù)”對話框。(3)在對話框的“網(wǎng)絡(luò)服務(wù)的子組件”列表中選擇“域名服務(wù)系統(tǒng)(DNS)”一項，單擊“確定”按鈕，返回“Windows組件向?qū)А睂υ捒颉?4)單擊“下一步”后，系統(tǒng)將從安裝光盤復(fù)制所需的程序。安裝結(jié)束后，在“開始一程序一管理工具”的下級子菜單中將會多出一個名為“DNS'’的項，說明DNS服務(wù)器已成功地安裝。同時，將會在＼WINNT＼System32下創(chuàng)建一個名為dns的文件夾。該文件夾中保存了與DNS運行有關(guān)的文件，如緩存文件(Cache)、DNS配置文件(DNS)及一些文件夾。10.7.2DNS客戶端的設(shè)置在安裝了DNS服務(wù)器后，如果要讓客戶端使用DNS服務(wù)器上的功能，還必須對DNS客戶端進行設(shè)置。下面以Windows2000客戶端為例，介紹其設(shè)置方法。(1)選擇“開始一設(shè)置一網(wǎng)絡(luò)和撥號連接”，打開“網(wǎng)絡(luò)和撥號連接”窗口。(2)選取窗口中的“本地連接”一項，單擊鼠標右鍵，在出現(xiàn)的快捷菜單巾選擇“屬性”一項，打開“本地連接屬性”對話框。(3)在對話框“此連接使用下列選定的組件”中選取已安裝的“Internet協(xié)議(TCP／IP)”項，然后單擊“屬性”按鈕。(4)在“首選DNS服務(wù)器”后面輸入DNS服務(wù)器的IP地址，如果網(wǎng)絡(luò)中還有其他的DNS服務(wù)器時，在“備用DNS服務(wù)器”后輸入這臺備用DNS服務(wù)器的IP地址。

10.8創(chuàng)建主要區(qū)域及其記錄當DNS服務(wù)器安裝后，還需要在其中創(chuàng)建區(qū)域與區(qū)域文件，以便將位于該區(qū)域內(nèi)的主機數(shù)據(jù)添加到區(qū)域文件中。10.8.1Windows2000的兩種區(qū)域類型Windows2000支持3種區(qū)域類型，分別是：標準主要區(qū)域、標準輔助區(qū)域和活動日錄集成的區(qū)域。1.標準主要區(qū)域主要區(qū)域保存的是該區(qū)域內(nèi)所有主機數(shù)據(jù)的原始信息(正本)，該區(qū)域文件采用標準的DNS格式，一般為文本文件。當在DNS服務(wù)器內(nèi)創(chuàng)建一個主要區(qū)域與區(qū)域文件后，這個DNS服務(wù)器就是這個區(qū)域的主要名稱服務(wù)器。2.標準輔助區(qū)域輔助區(qū)域保存的是該區(qū)域內(nèi)所有主機數(shù)據(jù)的復(fù)制文件(副本)，該副本文件是從豐要區(qū)域復(fù)制過來的。保存此副本數(shù)據(jù)的文件也是一個標準的DNS格式文本文件，而且是一個只讀文件。當在一個區(qū)域內(nèi)創(chuàng)建一個輔助區(qū)域后，這個DNS服務(wù)器就是這個區(qū)域的輔助名稱服務(wù)器。3.活動目錄集成的區(qū)域在活動目錄集成的區(qū)域內(nèi)，區(qū)域的主機數(shù)據(jù)保存在域控制器的活動目錄(ActiveDirectory)中，同時該數(shù)據(jù)文件會復(fù)制到網(wǎng)絡(luò)中其他的域控制器中。10.8.2標準主要區(qū)域的創(chuàng)建方法在一個DNS服務(wù)器中可以通過以下的方法創(chuàng)建標準主要區(qū)域。(1)選擇“開始一程序一管理工具一DNS”，打開DNS窗口。(2)在窗口中選取DNS服務(wù)器樹中的“正向搜索區(qū)域”，單擊鼠標右鍵，在出現(xiàn)的快捷菜單中選擇“新建區(qū)域”一項，出現(xiàn)“新建區(qū)域向?qū)А毙畔ⅰ?3)單擊“下一步”按鈕，分別顯示了3種類型的區(qū)域的特點。請選擇“標準主要區(qū)域”一項，并單擊“下一步”按鈕。(4)當出現(xiàn)對話框時，在“名稱”后面的文本框中輸入該區(qū)域自勺名稱，如。在話框中“名稱”后面輸入的區(qū)域名，應(yīng)該是該區(qū)域的根域名稱。(5)單擊“下一步”按鈕后，當出觀“區(qū)域文件”對話框時，直接單擊“下一步”按鈕。如果要使用區(qū)域內(nèi)已有的區(qū)域文件，可先選擇“使用此現(xiàn)存文件”一項，然后將該現(xiàn)存的文件復(fù)制到＼WINNT＼System32＼dns文件夾中。(6)單擊“下一步”按鈕，出現(xiàn)“正在完成新建區(qū)域向?qū)А睂υ捒?，在該對話框中對剛才的設(shè)置進行確認，無誤后單擊“確定”完成設(shè)置，返回DNS窗口，新建的區(qū)域文件；.將顯示在窗口中。10.8.3在主要區(qū)域內(nèi)創(chuàng)建主機記錄前面介紹了主要區(qū)域的創(chuàng)建方法，下面介紹如何在主要區(qū)域中創(chuàng)建新的記錄，這些記錄被稱為“資源記錄，RR”，這里先介紹主機記錄(也稱A記錄)的創(chuàng)建方法。創(chuàng)建主機記錄的目的是將主機的相關(guān)參數(shù)(主機名和對應(yīng)的IP地址)添加到DNS服務(wù)器中，以滿足DNS客戶端查詢主機名或IP地址。在主要區(qū)域中創(chuàng)建主機記錄的具體方法如下。(1)選擇“開始一程序一管理工具一DNS”，打開DNS窗口。(2)在DNS窗口中選取已創(chuàng)建的主要區(qū)域()，單擊鼠標右鍵，在出現(xiàn)的快捷菜單中選擇“新建主機”一項。(3)在出現(xiàn)的對話框的“名稱”下方文本框中輸入主機的名稱(如wq)，而在“IP地址”下方的文本框中輸入該主機對應(yīng)的IP地址。如果所創(chuàng)建的這一條主機記錄要提供反向查詢的服務(wù)功能時，可選取對話框中的“創(chuàng)建相關(guān)的指針(PTK)記錄”一項。(4)當設(shè)置正確后，單擊對話框中的“添加主機”按鈕，出現(xiàn)“成功地創(chuàng)建了主機記錄”的信息，表示已成功地創(chuàng)建了一條主機記錄。(5)單擊“確定”按鈕后，如果需要，可重復(fù)以上步驟，繼續(xù)創(chuàng)建其他的主機記錄。(6)當所有的主機記錄創(chuàng)建結(jié)束后，單擊“完成”按鈕，返回DNS窗口，剛才所創(chuàng)建的主機記錄將全部顯示在窗口右邊的列表框中。10.8.4在主要區(qū)域內(nèi)創(chuàng)建別名記錄在許多情況下，一臺主機可能要扮演不同的多個角色，這時需要給這臺主機創(chuàng)建多個別名。例如，當某一臺主機既是Web服務(wù)器，也是FTP服務(wù)器時，就需要為它創(chuàng)建不同的名稱，如和。下面介紹別名的創(chuàng)建方法。在創(chuàng)建主機的別名前，一定要先搞清楚該別名的用途，例如是Web服務(wù)器、還是FTP服務(wù)器等。另外，還要搞清楚該別名是由哪一臺主機所指派的。(1)選擇“開始一程序一管理工具一DNS”，打開DNS窗口。(2)在DNS窗口中選取已創(chuàng)建的主要區(qū)域()，單擊鼠標右鍵，在出現(xiàn)的快捷菜單中選擇“新建別名”一項。(3)在出現(xiàn)的對話框的“別名”下方的文本框中輸入具有的別名的主機別名(如卸)，在“目標主機的完全合格的名稱”下方的文本框中輸入指派該別名的主機名稱(如)。第一，像創(chuàng)建主機記錄一樣，對話框中的“別名”也必須是主機名，而不能是全稱域名FQDN；第二，對話框中“目標主機的完全合格的名稱”下方的名稱必須是全稱域名FQmN，而不能是主機名。(4)當確認輸入的內(nèi)容無誤后，單擊“確定”按鈕，返回DNS窗口。這些新建的別名記錄將顯示在窗口中。10.8.5在主要區(qū)域內(nèi)創(chuàng)建郵件交換記錄當發(fā)送電子郵件時，用戶的郵件服務(wù)器必須要將該郵件轉(zhuǎn)發(fā)到目的地的郵件服務(wù)器中，那么用戶的郵件服務(wù)器如何得知目的地的郵件服務(wù)器名稱呢?這就需要在DNS服務(wù)器中創(chuàng)建MX記錄，通過MX記錄告訴郵件該發(fā)往何處。下面介紹郵件交換記錄的創(chuàng)建方法。(1)選擇“開始一程序一管理工具一DNS”，打開DNS窗口。(2)在DNS窗口中選取已創(chuàng)建的主要區(qū)域()，單擊鼠標右鍵，在出現(xiàn)的快捷菜單中選擇“新建郵件交換器”一項。下面分別介紹對話中的主要功能項：(1)主機或域：在此輸入郵件交換記錄(一般是指郵件服務(wù)器)的域名，如果該域名與“父域”的名稱相同時，可以不輸入。(2)郵件服務(wù)器：在此輸入負責域中郵件傳送工作的郵件服務(wù)器的全稱域名FQDN(如)，這個FQDN必須為一條已創(chuàng)建的主機記錄。(3)郵件服務(wù)器優(yōu)先級：當該區(qū)域內(nèi)有多個MX記錄(即有多個郵件服務(wù)器)時，則可以在此處輸入一個數(shù)字來確定其優(yōu)先級，數(shù)字越低優(yōu)先級越高(0最高)。當一個區(qū)域中有多個郵件服務(wù)器時，如果其他的郵件服務(wù)器要傳送郵件到此區(qū)域的郵件服務(wù)器中，它會先選擇優(yōu)先級最高的郵件服務(wù)器。如果傳送失敗，再選擇優(yōu)先級較低的郵件服務(wù)器。如果有兩臺以上的郵件服務(wù)器的優(yōu)先級相同時，會從中隨機地選擇一臺郵件服務(wù)器。(4)當確認輸入無誤后，單擊“確定”按鈕，該郵件交換記錄(即郵件服務(wù)器)創(chuàng)建成功，其名稱將會顯示在DNS窗口中。10.9創(chuàng)建輔助區(qū)域輔助區(qū)域從其主要區(qū)域利用區(qū)域轉(zhuǎn)送的方式復(fù)制數(shù)據(jù)，然后將復(fù)制過來的所有主機的副本數(shù)據(jù)保存在輔助區(qū)域內(nèi)部。與主要區(qū)域文件不同的是，輔助區(qū)域文件是只讀的，也就是說不允許被修改。如果在DNS服務(wù)器中創(chuàng)建了輔助區(qū)域，那么這臺DNS服務(wù)器就是這個區(qū)域的輔助名稱服務(wù)器。下面介紹提供正向查詢服務(wù)的輔助區(qū)域的創(chuàng)建方法。(1)選擇“開始一程序一管理工具一DNS”，打開DNS窗口。(2)在DNS窗口中選取“樹”目錄中的“正向搜索區(qū)域”一項，然后單擊鼠標右鍵，在出現(xiàn)的快捷菜單中選擇“新建區(qū)域”一項。(3)當出現(xiàn)“區(qū)域類型”對話框時，請選擇“標準輔助區(qū)域”一項。(4)單擊“下一步”按鈕后，在出現(xiàn)的對話框的“名稱”后面的文本框中輸入要創(chuàng)建的輔助區(qū)域的名稱(如)。此名稱最好設(shè)置成與主要區(qū)域的名稱相同。(5)單擊“下一步”按鈕后，在出現(xiàn)的對話框的“IP地址”中輸入要復(fù)制數(shù)據(jù)的主要區(qū)域的DNS服務(wù)器的IP地址，然后單擊“添加”按鈕進行確認。(6)單擊“下一步”按鈕后，系統(tǒng)顯示了已經(jīng)設(shè)置的內(nèi)容，如果有誤，可通過單擊“上一步”按鈕重新進行設(shè)置。當確認無誤后，單擊“完成”按鈕，結(jié)束設(shè)置。通過以上的設(shè)置，這臺輔助名稱服務(wù)器將每隔15分鐘從其主要DNS服務(wù)器執(zhí)行一次“區(qū)域轉(zhuǎn)送”操作，以最大限度地保持輔助名稱服務(wù)器中的數(shù)據(jù)與主要名稱服務(wù)器數(shù)據(jù)的一致。10.10創(chuàng)建反向區(qū)域及其記錄通過主機名查詢其IP地址的過程稱為正向查詢，而通過IP地址查詢其主機名的過程叫做反向查詢。反向區(qū)域可以實現(xiàn)DNS客戶端利用IP地址來查詢其主機名的功能。反向區(qū)域并不是必須的，可以在需要時創(chuàng)建。反向區(qū)域的前半部分是網(wǎng)絡(luò)ID(NetworkID)的反向書寫，而后半部分必須是.。例如，要查詢網(wǎng)絡(luò)ID為192.168.5的主機名時，則此反向區(qū)域的名稱必須書寫成5.168.192.。10.10.1創(chuàng)建反向標準主要區(qū)域在Windows2000中，反向標準主要區(qū)域的具體創(chuàng)建方法如下。(1)選擇“開始一程序一管理工具一DNS”，打開DNS窗口。(2)在DNS窗口中選取“樹”目錄中的“反向搜索區(qū)域”一項，然后單擊鼠標右鍵，在出現(xiàn)的快捷菜單中選擇“新建區(qū)域”一項。(3)當出現(xiàn)“區(qū)域類型”時，請選擇“標準主要區(qū)域”一項。(4)單擊“下一步”按鈕后，在出現(xiàn)的對話框的“網(wǎng)絡(luò)ID”下方輸入正常的地址(如192.168.5)，這時它會自動顯示在“反向搜索區(qū)域名”的下方(5.168.192.)。(5)單擊“下一步”按鈕后，出現(xiàn)“區(qū)域文件”對話框，這時只需要直接單擊“下一步”按鈕。如果要使用現(xiàn)有的區(qū)域文件，則必須先將該文件復(fù)制到\WINNT\system32\dns文件夾中，然后通過對話框中的“使用此現(xiàn)存文件”進行設(shè)置。(6)當出現(xiàn)“正在完成新建區(qū)域向?qū)А睂υ捒驎r，要對所顯示的設(shè)置進行確認。如果設(shè)置有誤，可通過單擊“上一步”按鈕進行修改，確認無誤后，單擊“完成”按鈕，返回DNS窗口，這時新創(chuàng)建的反向標準主要區(qū)域?qū)@示在DNS窗口中(192.168.5.x.Subnet)。10.10.2在反向標準主要區(qū)域內(nèi)創(chuàng)建記錄當創(chuàng)建了反向標準主要區(qū)域后，還必須在該區(qū)域內(nèi)創(chuàng)建記錄數(shù)據(jù)，只有這些記錄數(shù)據(jù)在實際的查詢中才是有用的。一般可以通過以下的方式來在反向標準主要區(qū)域內(nèi)創(chuàng)建記錄數(shù)據(jù)。(1)選擇“開始一程序一管理工具一DNS”，打開DNS窗口。(2)選取“反向搜索區(qū)域”—項，然后單擊鼠標右鍵，在出現(xiàn)的快捷菜單中選擇“新建指針”一項。(3)只需要在對話框的“主機IP號”后的一段內(nèi)輸入主機IP地址的